検索
ニュース

AWS環境を標的とした新たな「whoAMI攻撃」が見つかる 具体的な保護策は?セキュリティニュースアラート

Datadogは、Amazon EC2インスタンス向けの仮想マシンイメージ「Amazon Machine Image」を悪用した「whoAMI攻撃」を発表した。この攻撃は名前の混同を悪用し、不正なコード実行を可能にするという。

[後藤大地,有限会社オングス] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 Datadogは2025年2月12日(現地時間、以下同)、「Amazon EC2」インスタンス向けの仮想マシンイメージ「Amazon Machine Image」(以下、AMI)を悪用したセキュリティリスク「whoAMI攻撃」を発表した。

 クラウドにおける名前の混同を悪用する攻撃とされ、適切な対策が講じられていない場合、誤った設定を利用してAWS(Amazon Web Services)アカウントで不正なコードが実行される危険性がある。

AWS環境の名前混乱を悪用した「whoAMI攻撃」 具体的な保護策は

 whoAMI攻撃は名前混乱攻撃(NCA)の一種とされ、信頼できないAMIを誤って使用することで発生する。具体的にはAWSのEC2インスタンスを作成する際、AMIの検索において「owners」属性を指定しない場合、攻撃者が意図的に作成した悪意あるAMIを利用してしまう危険がある。この結果、攻撃者は対象のAWS環境でコードを実行する権限を得る可能性がある。

 Datadogの調査では、AWSを利用する企業の約1%がこの脆弱(ぜいじゃく)性の影響を受ける可能性がある。さらにAWS自身の内部非本番システムがこの攻撃に対して脆弱とされ、攻撃者が内部AWSシステムのコンテキストでコードを実行できる状態にあることが確認されている。この問題を受け、AWSは2024年12月1日に「Allowed AMIs」と呼ばれる新機能を導入し、信頼できるAMIの提供元を制限できる仕組みを提供している。

 また、Datadogはこの脆弱性を検出するためのオープンソースツール「whoAMI-scanner」を「GitHub」に公開している。企業や開発者はこのツールを利用することで、自社のAWS環境内で不正なAMIが使用されていないかどうかを確認できる。

 クラウドのセキュリティは利用者の設定に大きく依存する。whoAMI攻撃はAWS環境における設定ミスを悪用した新たな攻撃手法であり、多くの企業が潜在的なリスクを抱えている。AWS環境を利用している企業は自社のAMI管理方法を見直し、適切な設定を講じることが推奨される。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る